如何在FortiGate的NP2网络接口上面使用sniffer或debug flow功能

文档用途

本文描述的是如何如何在FortiGate的NP2网络接口上面使用sniffer或debug flow功能。

适应范围

所有的具有NP2网络处理器的FortiGate设备。

功能描述

新型号的FortiGate使用了NP2网络处理器，例如FG-310B，FG-620B等等，有一些网络流量将不再转发给设备主CPU处理而是直接由NP2网络处理器处理，这将导致debug flow和sniffer命令无法抓到从NP2接口上收发的报文。
然而，并不是所有的报文都无法抓到的，所有的连接建立过程的报文及不支持快速转发的报文还是可以通过debug flow和sniffer命令抓到的，如TCP三次握手的包，包括syn/syn-ack/ack。当TCP连接建立起来之后，所有的后续包就会被NP2处理器通过快速转发功能直接转发了。

具体配置

出于故障调试目的，我们有的时候需要详细查看防火墙具体报文转发过程，这个时候我们可以手工的启用或者禁用NP2网络处理器硬件加速功能

请注意，此功能仅用户防火墙故障排错，它将极大影响防火墙性能，在不需要时请禁用此功能。
4．1 启用此功能，命令如下：
 diagnose npu np2 fastpath-sniffer enable <port(s)_number>
这样一来，所有的进出此NP2接口的包都可以被命令sniffer 或者 debug flow 命令来查看了。
4．2 禁用此功能，命令如下：
 diagnose npu np2 fastpath-sniffer disable <port(s)_number>

注意事项
这个命令启用/禁用将不会被保存在配置文件里面，重启FortiGate时设备将恢复到默认出厂配置状态。